습관제작소

6. 위험한 형식 파일 업로드 가. 개요 서버 측에서 실행될 수 있는 스크립트 파일 (asp, jap, php 파일 등)이 업로드가능하고, 이 파일을 공격자가 웹으로 직접 실행시킬 수 있는 경우, 시스템 내부 명령어를 실행하거나 외부와 연결하여 시스템을 제어할 수 있는 보안약점이다. 나. 보안대책 화이트 리스트 방식으로 허용된 확장자만 업로드를 허용한다. 업로드 디는파일을 저장할 때에는 파일명과 확장자를 외부사용자가 추측할 수 없는 문자열로 변경하여 저장하며, 저장 경로는 'web document root'밖에 위치시켜서 공격자의 웹으로 직접 접근을 차단한다. 또한 파일 실행 여부를 설정할 수 있는 실행 속성을 제거 한다. 7. 신뢰되지 않는 URL 주소로 자동접속 연결 가. 개요 사용자로부터 입력되는 ..

제 1절 입력데이터 검증 및 표현 프로글매 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정, 일돤되지 않은 언어셋 등으로 인해 보안약점으로 SQL, 크로스사이트 스크립트(XSS) 등의 공격을 유발할 수 있다. 1. SQL 삽입 가. 개요 데이터베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 입력 폼 및, URL 입력란에 SQL 문을 삽입하여 DB로 부터 정보를 열람하거나 조작할 수 있는 보안약점을 말한다. 취약한 웹 응용프로그램에서는 사용자로부터 입력된 값을 필터링 과정 없이 넘겨받아 동적 쿼리를 생성하기 때문에 개발자가 의도하지 않는 쿼리가 생성되어 정보유출에 악용될 수 있다. 나. 보안 대책 PreparedState..